Microsoft Exchange 服务器安全更新

介绍

在本文中,我们提供了有关针对 Microsoft Exchange Server 的恶意软件所构成的持续威胁的最新信息 CVE-2021-26855. 我们还提供了更新和保护您的 Microsoft Exchange Server 所需的步骤。 在一个 最近贴文,网络安全和基础设施安全机构发布了有关最近 Microsoft Exchange Server 漏洞的优先安全公告。 他们说:

“CISA 合作伙伴观察到积极利用 Microsoft Exchange 本地产品中的漏洞。 目前已知漏洞和已识别的利用活动都不会影响 Microsoft 365 或 Azure Cloud 部署。 成功利用这些漏洞允许攻击者访问本地 Exchange 服务器,从而使他们能够获得对企业网络的持久系统访问和控制。

CISA 已确定,对 Microsoft Exchange 本地产品的这种利用对联邦民事行政部门机构构成了不可接受的风险,需要采取紧急行动。 该决定基于当前在野外对这些漏洞的利用、漏洞被利用的可能性、受影响软件在联邦企业中的普遍性、机构信息系统受损的可能性以及潜在的影响成功的妥协。 CISA 发布了 ED 21-02,要求运行 Microsoft Exchange 本地产品的联邦文职部门和机构更新或断开产品与其网络的连接,直到使用 Microsoft 补丁进行更新。

目前,与此已知利用活动相关的漏洞包括 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。 根据 Microsoft 和安全研究人员的说法,以下漏洞是相关的,但未知被利用:CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。

https://www.cisa.gov/ed2102

微软提供了一种新的“一键式”缓解工具,称为 Microsoft Exchange 本地缓解工具. 它可以帮助无法访问专门的 IT 安全专家团队的客户应用所需的安全更新。 他们针对以下部署对该工具进行了测试:

  • 微软交换服务器 2013
  • 微软交换服务器 2016
  • 微软交换服务器 2019

此工具旨在为不熟悉 Microsoft 补丁/更新过程的客户或尚未应用任何最近的本地 Microsoft Exchange Server 安全更新的客户提供权宜之计。

一旦运行,应用程序将首先提供针对当前已知漏洞的缓解(CVE-2021-26855) 使用 URL 重写配置。 接下来,它将使用 微软安全扫描仪 然后逆转已识别威胁所做的任何修改。

通过下载并运行此工具(包括最新的 Microsoft 安全扫描程序),客户端会在部署它的任何 Exchange 服务器上自动缓解 CVE-2021-26855。 此工具不能替代 Exchange 安全更新。 尽管如此,它仍然是减轻连接到 Internet 的预打补丁的本地 Exchange Server 所面临风险的最简单、最快的方法。

先决条件

这些是运行 Exchange 本地缓解工具所需的要求

  • 来自 Exchange 服务器的外部 Internet 连接(需要下载 Microsoft 安全扫描程序和 IIS URL 重写模块)。
  • PowerShell 脚本必须以管理员身份运行。

系统要求

  • PowerShell 3 或更高版本
  • IIS 7.5 及更高版本
  • 交换 2013、2016 或 2019
  • Windows 服务器 2008 R2、服务器 2012、服务器 2012 R2、服务器 2016、服务器 2019

建议

CISA 建议所有易受影响的 Exchange 所有者采取以下步骤。

步骤 1. 下载并安装检测脚本

下载 扫描工具 并打开它。

第2步。

选择要运行的扫描类型并开始扫描。

步骤 3。

查看屏幕上显示的扫描结果。 有关详细的检测结果,客户端可以查看位于 %SYSTEMROOT%debugmsert.log 的日志文件。

第4步。

实施扫描后,请遵循建议的准则 注意到这里.

步骤 5。

卸下工具。 要完成任务,请删除 msert.exe 可执行文件。

如果妥协

如果您遭到入侵,Microsoft 建议您执行以下操作 本指南 以更好地了解下一步该做什么。

结论

使用受影响版本的客户应使用补丁更新他们的系统 立即地. 有关脚本的更多信息, 微软博客 提供更详细的信息。 有关此漏洞的更多信息,用户可以访问以下链接。

注意:此漏洞与最近的 SolarWinds 攻击无关。

我们以成为 Hosting™ 中最乐于助人的人而自豪!

我们的支持团队由经验丰富的 Linux 技术人员和才华横溢的系统管理员组成,他们对多种网络托管技术有着深入的了解,尤其是本文中讨论的技术。

如果您对此信息有任何疑问,请通过支持票、聊天或电话 800.580.495 与我们联系。 我们随时可以回答有关本文的任何查询,每天 24 小时、每周 7 天、每年 365 天。

如果您是完全托管的 VPS 服务器, Cloud 专用,VMWare 私有 Cloud私有父服务器, 托管 Cloud 服务器或专用服务器所有者,并且您对执行概述的任何步骤感到不舒服,可以通过电话@800.580.4985 联系我们, 聊天 或支持票以回答您可能遇到的任何问题。